Seguridad empresarial Al eliminar estos errores y puntos ciegos, su organización puede dar grandes pasos hacia la optimización del uso de la nube sin exponerse al riesgo cibernético 16 de enero de 2024 •, 5 min. leer La computación en la nube es un componente esencial del panorama digital actual. Hoy en día es más probable que la infraestructura, las plataformas y el software de TI se entreguen como un servicio (de ahí las siglas IaaS, PaaS y SaaS, respectivamente) que en una configuración local tradicional. Y esto atrae más que a la mayoría a las pequeñas y medianas empresas (PYMES). La nube brinda la oportunidad de nivelar el campo de juego con rivales más grandes, lo que permite una mayor agilidad empresarial y una rápida escalabilidad sin arruinarse. Quizás esa sea la razón por la que el 53% de las PYMES globales encuestadas en un informe reciente dicen que gastan más de 1,2 millones de dólares al año en la nube; frente al 38% del año pasado. Sin embargo, la transformación digital también conlleva riesgos. La seguridad (72%) y el cumplimiento (71%) son el segundo y tercer desafío de la nube más citados por las PYMES encuestadas. El primer paso para abordar estos desafíos es comprender los principales errores que cometen las empresas más pequeñas con sus implementaciones en la nube. Los siete principales errores de seguridad en la nube que cometen las PYMES Seamos claros: los siguientes no son solo errores que cometen las PYMES en la nube. Incluso las empresas más grandes y con mejores recursos a veces son culpables de olvidar lo básico. Pero al eliminar estos puntos ciegos, su organización puede dar grandes pasos hacia la optimización del uso de la nube, sin exponerse a riesgos financieros o de reputación potencialmente graves. 1. Sin autenticación multifactor (MFA) Las contraseñas estáticas son intrínsecamente inseguras y no todas las empresas siguen una política sólida de creación de contraseñas. Las contraseñas se pueden robar de varias maneras, como mediante phishing, métodos de fuerza bruta o simplemente adivinadas. Es por eso que necesita agregar una capa adicional de autenticación en la parte superior. MFA hará que sea mucho más difícil para los atacantes acceder a las aplicaciones de cuentas SaaS, IaaS o PaaS de sus usuarios, mitigando así el riesgo de ransomware, robo de datos y otros posibles resultados. Otra opción implica cambiar, cuando sea posible, a métodos alternativos de autenticación, como la autenticación sin contraseña. 2. Confiar demasiado en el proveedor de la nube (CSP) Muchos líderes de TI creen que invertir en la nube significa subcontratar todo a un tercero de confianza. Eso es sólo parcialmente cierto. De hecho, existe un modelo de responsabilidad compartida para proteger la nube, dividida entre el CSP y el cliente. Lo que deba cuidar dependerá del tipo de servicio en la nube (SaaS, IaaS o PaaS) y del CSP. Incluso cuando la mayor parte de la responsabilidad recae en el proveedor (por ejemplo, en SaaS), puede resultar rentable invertir en controles adicionales de terceros. 3. No realizar una copia de seguridad Según lo anterior, nunca asuma que su proveedor de nube (por ejemplo, para servicios de almacenamiento/intercambio de archivos) lo respalda. Siempre vale la pena planificar para el peor de los casos, que probablemente sea una falla del sistema o un ciberataque. No son sólo los datos perdidos los que afectarán a su organización, sino también el tiempo de inactividad y el impacto en la productividad que podrían seguir a un incidente. 4. No aplicar parches regularmente Si no aplica parches, estará exponiendo sus sistemas en la nube a la explotación de vulnerabilidades. Esto, a su vez, podría provocar una infección de malware, filtraciones de datos y más. La gestión de parches es una de las mejores prácticas de seguridad fundamentales que es tan relevante en la nube como local. 5. Los CSP con mala configuración de la nube son un grupo innovador. Pero el gran volumen de nuevas características y capacidades que lanzan en respuesta a los comentarios de los clientes puede terminar creando un entorno de nube increíblemente complejo para muchas PYMES. Hace que sea mucho más difícil saber qué configuración es la más segura. Los errores comunes incluyen configurar el almacenamiento en la nube para que cualquier tercero pueda acceder a él y no bloquear los puertos abiertos. 6. No monitorear el tráfico en la nube Una frase común es que hoy en día no se trata de “si” sino de “cuándo” se viola su entorno de nube (IaaS/PaaS). Eso hace que la detección y respuesta rápidas sean fundamentales si se quieren detectar las señales desde el principio y contener un ataque antes de que tenga la posibilidad de afectar a la organización. Esto hace que el seguimiento continuo sea imprescindible. 7. No cifrar las joyas de la corona corporativa Ningún entorno es 100% a prueba de violaciones. Entonces, ¿qué sucede si una parte malintencionada logra acceder a sus datos internos más confidenciales o a su información personal de empleados/clientes altamente regulada? Al cifrarlo en reposo y en tránsito, se asegurará de que no se pueda utilizar, incluso si se obtiene. Lograr la seguridad en la nube correcta El primer paso para abordar estos riesgos de seguridad en la nube es comprender dónde residen sus responsabilidades y qué áreas serán manejadas por el CSP. Luego, se trata de tomar una decisión sobre si confía en los controles de seguridad nativos de la nube del CSP o si desea mejorarlos con productos adicionales de terceros. Considere lo siguiente: Invierta en soluciones de seguridad de terceros para mejorar la seguridad en la nube y la protección de sus aplicaciones de correo electrónico, almacenamiento y colaboración, además de las características de seguridad integradas en los servicios en la nube ofrecidos por los principales proveedores de nube del mundo. Agregue detección y respuesta extendidas o administradas. (XDR/MDR) para impulsar una respuesta rápida a incidentes y contención/remediación de brechas Desarrollar e implementar un programa continuo de parches basado en riesgos basado en una sólida gestión de activos (es decir, saber qué activos en la nube tiene y luego asegurarse de que estén siempre actualizados) Cifre los datos en reposo (a nivel de base de datos) y en tránsito para garantizar que estén protegidos incluso si los delincuentes se apoderan de ellos. Esto también requerirá un descubrimiento y clasificación de datos efectivos y continuos. Definir una política clara de control de acceso; exigir contraseñas seguras, MFA, principios de privilegio mínimo y listas de permisos/restricciones basadas en IP para IP específicas. Considere la posibilidad de adoptar un enfoque de Confianza Cero, que incorporará muchos de los elementos anteriores (MFA, XDR, cifrado) junto con la segmentación de la red y otros controles. Muchas de las medidas anteriores son las mismas mejores prácticas que uno esperaría implementar en las instalaciones. Y a gran nivel lo son, aunque los detalles serán diferentes. Lo más importante es recordar que la seguridad en la nube no es sólo responsabilidad del proveedor. Tome el control hoy para gestionar mejor el riesgo cibernético.